The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Не работает связка Netflow + NAT"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Не работает связка Netflow + NAT"  +/
Сообщение от tyomikh email(??) on 27-Фев-06, 15:52 
все делал по докам и соображениям здравого смысла, но все равно не работает

sh run
Current configuration : 5656 bytes
!
! Last configuration change at 15:32:53 msk Mon Feb 27 2006 by admin
!
version 12.4
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
service password-encryption
!
hostname gw
!
boot-start-marker
boot system flash c1841-advsecurityk9-mz.124-5.bin
boot-end-marker
!
logging buffered 4096 debugging
enable secret 5 x
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session-id common
!
resource policy
!
clock timezone msk 3
clock summer-time msk recurring
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no ip source-route
ip cef
!
!
ip inspect max-incomplete low 25
ip inspect max-incomplete high 100
ip inspect one-minute low 25
ip inspect one-minute high 100
ip inspect name ext smtp alert on
ip inspect name ext http alert on
ip inspect name ext ftp alert on
ip inspect name ext tcp alert on
ip inspect name ext udp alert on
ip inspect name ext icmp alert on
ip inspect name ext ssh alert on
ip inspect name ext telnet alert on
!
!
no ip domain lookup
ip domain name x
ip ssh authentication-retries 2
ip rcmd rsh-enable
ip rcmd remote-host tr_acct 192.168.40.2 administrator enable 3
!
!
!
username admin privilege 15 secret 5 x
username remoteUser secret 5 x
!
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group x
key x
pool IRP_vpn
acl 108
!
!
crypto ipsec transform-set vpnTransSet esp-3des esp-sha-hmac
!
crypto dynamic-map dynMap 10
set transform-set vpnTransSet
!
!
crypto map irp_vpn_map client authentication list userauthen
crypto map irp_vpn_map isakmp authorization list groupauthor
crypto map irp_vpn_map client configuration address respond
crypto map irp_vpn_map 10 ipsec-isakmp dynamic dynMap
!
!
!
interface Loopback0
ip address 192.168.254.1 255.255.255.0
ip virtual-reassembly
ip route-cache flow
!
interface FastEthernet0/0
description WAN
ip address 195.178.213.83 255.255.255.248
ip access-group ext_if_in in
ip access-group ext_if_out out
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect ext in
ip nat outside
ip virtual-reassembly
ip route-cache flow
ip policy route-map l00p
duplex auto
speed auto
!
interface FastEthernet0/1
description LAN
ip address 192.168.40.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
!
ip local pool IRP_vpn 192.168.100.1 192.168.100.10
ip route 0.0.0.0 0.0.0.0 195.178.213.81
ip flow-export version 5
!
no ip http server
no ip http secure-server
ip nat pool internal2outside 195.178.213.84 195.178.213.84 netmask 255.255.255.248
ip nat inside source list 1 pool internal2outside overload
!
ip access-list extended ext_if_in
evaluate ip_out
permit tcp any host 195.178.213.83 eq 22
permit udp any host 195.178.213.83 eq isakmp
permit udp host 204.34.198.40 eq ntp host 195.178.213.83 eq ntp
deny   ip any any log
ip access-list extended ext_if_out
permit ip 195.178.213.80 0.0.0.7 any reflect ip_out
deny   ip any any log
!
access-list 101 permit ip any 192.168.40.0 0.0.0.255
access-list 108 permit ip any any
route-map l00p permit 10
match ip address 101
set interface Loopback0 FastEthernet0/1
!
!
!
control-plane
!
privilege exec level 3 show ip accounting
privilege exec level 3 show ip
privilege exec level 3 show
privilege exec level 3 clear ip accounting
privilege exec level 3 clear ip
privilege exec level 3 clear
!
line con 0
line aux 0
line vty 0 4
access-class 31 in
privilege level 15
transport input ssh
line vty 5 15
privilege level 15
transport input telnet
!
ntp clock-period 17178386
ntp server 204.34.198.40
end

gw#sh ip cache flow
IP packet size distribution (24632 total packets):
   1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480
   .000 .488 .124 .215 .024 .017 .011 .004 .004 .005 .005 .002 .002 .004 .003

    512  544  576 1024 1536 2048 2560 3072 3584 4096 4608
   .001 .001 .002 .015 .065 .000 .000 .000 .000 .000 .000

IP Flow Switching Cache, 278544 bytes
  7 active, 4089 inactive, 2198 added
  31664 ager polls, 0 flow alloc failures
  Active flows timeout in 30 minutes
  Inactive flows timeout in 15 seconds
IP Sub Flow Cache, 21640 bytes
  0 active, 1024 inactive, 0 added, 0 added to flow
  0 alloc failures, 0 force free
  1 chunk, 1 chunk added
  last clearing of statistics never
Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec)
--------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow
TCP-Telnet          22      0.0       107    41      1.0      28.1      15.5
TCP-WWW            970      0.4         6   427      2.6       1.6       4.3
TCP-SMTP            35      0.0        10   232      0.1       5.7       6.7
TCP-other          445      0.1        27   115      5.2      12.9      13.0
UDP-DNS             49      0.0         3    66      0.0       4.9      15.5
UDP-NTP             33      0.0         1    76      0.0       0.4      15.6
UDP-other           76      0.0         2   218      0.0       2.2      15.5
Total:            1630      0.6        13   200      9.2       5.3       8.0

SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Fa0/1         192.168.40.2    Fa0/0         85.140.17.215   06 0016 0940   939     я удаленно зашел на сервер
Fa0/0         85.140.17.215   Null          192.168.40.2    06 0940 0016  1864     через статич.NAT трансляцию
Fa0/1         192.168.40.2    Local         192.168.40.1    06 0F83 0017     4     я зателнетился на циску с сервера
Fa0/0         194.67.23.205   Local         195.178.213.84  06 07F9 0985     1
Fa0/1         195.178.213.84  Fa0/0         194.67.23.205   06 0985 07F9     1
Fa0/1         195.178.213.84  Fa0/0         64.12.162.70    06 048E 1446     1
Fa0/0         64.12.162.70    Local         195.178.213.84  06 1446 048E     1

Самое интересное, что статич.трансляции нормально экспортятся в нетфлоу, но 4 последних - заНАТченные сессии пользователей отображаются не верно... (

Где грабли?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Не работает связка Netflow + NAT"  +/
Сообщение от Сайко on 27-Фев-06, 20:09 
А вот скажи мне, какой глубинный смысл утанавливать PBR на WAN интерфейсе, причем в ACL указывать адреса из RFC1918, или ты и вправду думаешь что к тебе из Интернета кто то пойдет на частные адреса.
Насколько я помню все делается наоборот - PBR устанавливается на LAN(внутреннем) интерфейсе, и точно также пакеты пропрасываются на loopback.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Не работает связка Netflow + NAT"  +/
Сообщение от sh_ email(??) on 27-Фев-06, 21:03 
2Сайко
Не, устанавливаются на внешнем интерфейсе для netflow, но с адресами он действтельно отжог...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Не работает связка Netflow + NAT"  +/
Сообщение от Сайко on 27-Фев-06, 21:08 
>2Сайко
>Не, устанавливаются на внешнем интерфейсе для netflow, но с адресами он действтельно
>отжог...
Если честно, то я сам никогда так и не пробовал это делать, да и не надо это мне реальных адресов вполне хватает на все свои фантазии.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Не работает связка Netflow + NAT"  +/
Сообщение от tyomikh email(ok) on 27-Фев-06, 21:41 
>2Сайко
>Не, устанавливаются на внешнем интерфейсе для netflow, но с адресами он действтельно
>отжог...

а что не нравится с адресами?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Не работает связка Netflow + NAT"  +/
Сообщение от Сайко on 28-Фев-06, 09:52 
>а что не нравится с адресами?
Да вот это:
access-list 101 permit ip any 192.168.40.0 0.0.0.255
!
route-map l00p permit 10
match ip address 101

ты всерьез думаешь что провайдер на тебя маршрутизирует частные адреса?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Не работает связка Netflow + NAT"  +/
Сообщение от sh_ email(??) on 28-Фев-06, 07:49 
no access-list 101 permit ip any 192.168.40.0 0.0.0.255
access-list 101 permit ip any 195.178.213.80 0.0.0.7
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Не работает связка Netflow + NAT"  +/
Сообщение от tyomikh email(??) on 28-Фев-06, 09:31 
>no access-list 101 permit ip any 192.168.40.0 0.0.0.255
>access-list 101 permit ip any 195.178.213.80 0.0.0.7

Делал согласно
http://www.netup.ru/articles_pdf/10.pdf
там ACL прописан именно на внутренюю подсеть, как и во многих подобных этому описанию вариантах

к тому же в моем случае PBR работает:
gw#sh route-map
route-map l00p, permit, sequence 10
  Match clauses:
    ip address (access-lists): 101
  Set clauses:
    interface Loopback0 FastEthernet0/1
  Policy routing matches: 161021 packets, 136446200 bytes
gw#sh route-map
route-map l00p, permit, sequence 10
  Match clauses:
    ip address (access-lists): 101
  Set clauses:
    interface Loopback0 FastEthernet0/1
  Policy routing matches: 161638 packets, 136666239 bytes

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Не работает связка Netflow + NAT"  +/
Сообщение от Сайко on 28-Фев-06, 09:46 
>http://www.netup.ru/articles_pdf/10.pdf
to sh_
Ха, судя по этому бездарному документу полиси вешают на внутренний интерфейс.

Смешит вот это(смитрим что они хотят заматчить с инклюдом и что получают)
при этом должна появиться информация о трафике примерно следующего вида: Router#show ip cache flow | include 10.1.2.2
SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts
Et1/0 195.161.112.6 Et1/1 10.11.0.6 06 0050 1093 3
Et1/1 10.11.0.6 Et1/0 195.161.112.6 06 1093 0050 5
Et1/0 195.161.112.6 Local 10.1.0.1 06 0050 1093 2

Где SrcIf – интерфейс, с которого пришел пакет. DstIf – интерфейс, на который был направлен пакет. Если данно поле Null, то данная информация не будет экспортирована в Netflow.
Проверьте списки доступа.

Складывается ощущение, что человек писал от балды.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Не работает связка Netflow + NAT"  +/
Сообщение от Сайко on 28-Фев-06, 09:55 
>Делал согласно
>http://www.netup.ru/articles_pdf/10.pdf
>там ACL прописан именно на внутренюю подсеть, как и во многих подобных
>этому описанию вариантах
Но PBR там прикручен к внутреннему!

>к тому же в моем случае PBR работает:
>gw#sh route-map
>route-map l00p, permit, sequence 10
>  Match clauses:
>    ip address (access-lists): 101
>  Set clauses:
>    interface Loopback0 FastEthernet0/1
>  Policy routing matches: 161021 packets, 136446200 bytes
>gw#sh route-map
>route-map l00p, permit, sequence 10
>  Match clauses:
>    ip address (access-lists): 101
>  Set clauses:
>    interface Loopback0 FastEthernet0/1
>  Policy routing matches: 161638 packets, 136666239 bytes
Это понятно ты лучше покаж
sh ip access-list 101

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Не работает связка Netflow + NAT"  +/
Сообщение от tyomikh email(??) on 28-Фев-06, 10:08 
>>http://www.netup.ru/articles_pdf/10.pdf
>Но PBR там прикручен к внутреннему!
если внимательно посмотреть, то там, КАК И ВО МНОГИХ ПОДОБНЫХ ОПИСАНИЯХ(а это уменьшает вероятность тиражирования ошибки), PBR прикручен к внешнему интерфейсу

>Это понятно ты лучше покаж
>sh ip access-list 101
в моем случае
gw#sh access-lists 101
Extended IP access list 101
    10 permit ip any 192.168.40.0 0.0.0.255 (137 matches)
gw#sh access-lists 101
Extended IP access list 101
    10 permit ip any 192.168.40.0 0.0.0.255 (155 matches)

в Вашем случае
>no access-list 101 permit ip any 192.168.40.0 0.0.0.255
>access-list 101 permit ip any 195.178.213.80 0.0.0.7
gw#sh access-lists 101
Extended IP access list 101
    10 permit ip any 195.178.213.80 0.0.0.7 (2 matches)
gw#sh access-lists 101
Extended IP access list 101
    10 permit ip any 195.178.213.80 0.0.0.7 (2 matches)

Т.е. не работает, как и PBR:
gw#sh route-map
route-map l00p, permit, sequence 10
  Match clauses:
    ip address (access-lists): 101
  Set clauses:
    interface Loopback0 FastEthernet0/1
  Policy routing matches: 202464 packets, 139776724 bytes
gw#sh route-map
route-map l00p, permit, sequence 10
  Match clauses:
    ip address (access-lists): 101
  Set clauses:
    interface Loopback0 FastEthernet0/1
  Policy routing matches: 202464 packets, 139776724 bytes

>ты всерьез думаешь что провайдер на тебя маршрутизирует частные адреса?
Разумеется, он на меня их не маршрутизит; ACL пишется исходя из порядка обработки приходящих пакетов на внешнем интерфейсе циски(имею в виду очередность PRB и NAT)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Не работает связка Netflow + NAT"  +/
Сообщение от Сайко on 28-Фев-06, 10:36 
Да, видимо я поторопился, был не прав, прошу не бить.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Не работает связка Netflow + NAT"  +/
Сообщение от tyomikh email(ok) on 28-Фев-06, 10:48 
>Да, видимо я поторопился, был не прав, прошу не бить.

Было бы тривиально - постить бы не стал
уже все глаза проглядел в поисках бага :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Не работает связка Netflow + NAT"  +/
Сообщение от tyomikh email(ok) on 28-Фев-06, 10:19 
Была еще идея, что NAT+Netflow не корректно работают на этой версии IOS, но я уже вторую пробую из 12.4 серии....
или, возможно, стандартные описания связки NAT+Netflow не работают на 12.4???...
я не силен в знании IOS, но слышал, что в 12.4 есть масса кардинальных изменений по сравнению с <=12.3
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Не работает связка Netflow + NAT"  +/
Сообщение от ser00 email on 28-Фев-06, 13:48 
В новых IOS начиная с 12.3T(11) можно вмето всякх там извращиний и заворачиваний трафика использовать flow egress

Вот рабочий конфиг моей кошки
IOS
c3640-jk9o3s-mz.123-14.T3.bin

Current configuration : 2452 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname igate
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting delay-start
aaa accounting nested
aaa accounting update newinfo
aaa accounting network default start-stop group radius
!        
aaa session-id common
!
resource policy
!
clock timezone IRK 8
clock summer-time IRK recurring last Sun Mar 2:00 last Sun Oct 2:00
ip subnet-zero
ip flow-egress input-interface
ip flow-cache timeout inactive 60
ip flow-cache timeout active 1
!
!
ip cef
no ip domain lookup
ip name-server 192.168.2.10
no ip dhcp use vrf connected
!
!
no ip ips deny-action ips-interface
!
vpdn enable
vpdn ip udp ignore checksum
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
vpdn-group 2
accept-dialin
protocol pppoe
virtual-template 2
!
no ftp-server write-enable
!
!
!
!
!
!
!
!
!
!        
!
!
!
!
!
!
no crypto isakmp ccm
!
!
!
!
interface Ethernet0/0
ip address 192.168.2.20 255.255.255.0
no ip redirects
full-duplex
pppoe enable
!
interface Ethernet0/1
ip address XXX.XXX.XXX.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow egress
ip nat outside
ip virtual-reassembly
ip route-cache policy
full-duplex
!
interface Virtual-Template1
mtu 1460
bandwidth 1024
ip unnumbered Ethernet0/0
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
delay 200
autodetect encapsulation ppp
no keepalive
ppp authentication chap callin
!
interface Virtual-Template2
mtu 1492
bandwidth 1024
ip unnumbered Ethernet0/0
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
delay 200
autodetect encapsulation ppp
no keepalive
ppp authentication pap callin
!
no ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.10
ip flow-export version 5
ip flow-export destination 192.168.2.10 9996
!
!
ip nat inside source list 4 interface Ethernet0/1 overload
!
access-list 4 permit 10.0.0.0 0.0.255.255
access-list 108 permit ip any 10.0.0.0 0.0.255.255
!        
!
radius-server host 192.168.2.10 auth-port 1812 acct-port 1813
radius-server key ciscanasP@S
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
!
!
end  

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Не работает связка Netflow + NAT"  +/
Сообщение от tyomikh email(ok) on 28-Фев-06, 15:05 
К сожалению, не был знаком с egress NetFlow accounting, только сейчас прочитал "Configuring Egress NetFlow Accounting", но не понял как это переложить на случай с NAT. Из Вашего конфига выцепил основные строки:
ip flow-egress input-interface
ip flow-cache timeout inactive 60
ip flow-cache timeout active 1
!
ip cef
interface Ethernet0/0
ip address 192.168.2.20 255.255.255.0
!
interface Ethernet0/1
ip address XXX.XXX.XXX.1 255.255.255.0
ip flow egress
ip nat outside
ip route-cache policy
!
interface Virtual-Template1
ip flow ingress
ip flow egress
ip nat inside
!
ip flow-export version 5
ip flow-export destination 192.168.2.10 9996
!
ip nat inside source list 4 interface Ethernet0/1 overload
!
access-list 4 permit 10.0.0.0 0.0.255.255
Попытка адаптации на моем 1841 не прошла(прежний PBR я убрал), т.е. по прежнему в
sh ip cache flow
видны реальные IP адреса вместо внутренних, теперь даже и для исходящих пакетиков :(
Киньте плз в меня докой про eggress + NAT(!)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Не работает связка Netflow + NAT"  +/
Сообщение от ser00 email on 28-Фев-06, 15:09 
новый sh run в студию
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Не работает связка Netflow + NAT"  +/
Сообщение от ser00 email on 28-Фев-06, 15:11 
и sh ver
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Не работает связка Netflow + NAT"  +/
Сообщение от tyomikh email(ok) on 28-Фев-06, 15:24 
>и sh ver

gw#sh run
Building configuration...

Current configuration : 5792 bytes
!
version 12.4
!
hostname gw
!
boot-start-marker
boot system flash c1841-advsecurityk9-mz.124-5.bin
boot-end-marker
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session-id common
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no ip source-route
ip cef
!
!
ip inspect max-incomplete low 25
ip inspect max-incomplete high 100
ip inspect one-minute low 25
ip inspect one-minute high 100
ip inspect name ext smtp alert on
ip inspect name ext http alert on
ip inspect name ext ftp alert on
ip inspect name ext tcp alert on
ip inspect name ext udp alert on
ip inspect name ext icmp alert on
ip inspect name ext ssh alert on
ip inspect name ext telnet alert on
!
!
ip flow-egress input-interface
ip flow-cache timeout inactive 60
ip flow-cache timeout active 1
no ip domain lookup
!
interface Loopback0
ip address 192.168.254.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip route-cache flow
!
interface FastEthernet0/0
description WAN
ip address 195.178.213.83 255.255.255.248
ip access-group ext_if_in in
ip access-group ext_if_out out
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect ext in
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
ip route-cache policy
duplex auto
speed auto
!
interface FastEthernet0/1
description LAN
ip address 192.168.40.1 255.255.255.0
ip flow egress
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 195.178.213.81
ip flow-export version 5
!
ip nat pool internal2outside 195.178.213.84 195.178.213.84 netmask 255.255.255.248
ip nat inside source list 1 pool internal2outside overload
ip nat inside source static tcp 192.168.40.2 22 195.178.213.86 22867 extendable
!
ip access-list extended ext_if_in
evaluate ip_out
permit tcp any host 195.178.213.83 eq 22
permit udp any host 195.178.213.83 eq isakmp
permit udp host 204.34.198.40 eq ntp host 195.178.213.83 eq ntp
deny   ip any any log
ip access-list extended ext_if_out
permit ip 195.178.213.80 0.0.0.7 any reflect ip_out
deny   ip any any log
!
access-list 1 permit 192.168.40.0 0.0.0.255
access-list 101 permit ip any 192.168.40.0 0.0.0.255
access-list 108 permit ip any any
route-map l00p permit 10
match ip address 101
set interface Loopback0 FastEthernet0/1
!
...
end

gw#sh ver
Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(5), RELE
ASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Mon 31-Oct-05 18:02 by alnguyen

ROM: System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)

gw uptime is 1 day, 13 minutes
System returned to ROM by reload at 15:07:13 msk Mon Feb 27 2006
System restarted at 15:09:02 msk Mon Feb 27 2006
System image file is "flash:c1841-advsecurityk9-mz.124-5.bin"


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco 1841 (revision 4.1) with 116736K/14336K bytes of memory.
Processor board ID FCZ090622WQ
2 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
31360K bytes of ATA CompactFlash (Read/Write)

Configuration register is 0x2102


Может, из-за ip inspect не пашет???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Не работает связка Netflow + NAT"  +/
Сообщение от CompeR email on 28-Фев-06, 15:10 
>В новых IOS начиная с 12.3T(11) можно вмето всякх там извращиний и заворачиваний трафика использовать flow egress

Извините, что не в тему....
а для 2514 есть IOS c flow egress ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Не работает связка Netflow + NAT"  +/
Сообщение от ser00 email on 28-Фев-06, 15:16 
http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Не работает связка Netflow + NAT"  +/
Сообщение от tyomikh email(ok) on 28-Фев-06, 15:27 
>>В новых IOS начиная с 12.3T(11) можно вмето всякх там извращиний и заворачиваний трафика использовать flow egress
>
>Извините, что не в тему....
>а для 2514 есть IOS c flow egress ?

кроме
http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp
еще 1 твой лучший друг - это eMule(там можешь много че найти, и не только IOS%)
http://www.emule-project.net/home/perl/general.cgi?l=1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Не работает связка Netflow + NAT"  +/
Сообщение от CompeR email on 28-Фев-06, 16:46 
>>>В новых IOS начиная с 12.3T(11) можно вмето всякх там извращиний и заворачиваний трафика использовать flow egress
>>
>>Извините, что не в тему....
>>а для 2514 есть IOS c flow egress ?
>
>http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp

Как я понял на 25XX такой штуки нет :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Не работает связка Netflow + NAT"  +/
Сообщение от nbv on 02-Мрт-06, 10:20 

>ip nat inside source list 1 pool internal2outside overload
>!
"list 1"? надо бы его определить на всякий случай.

>route-map l00p permit 10
> match ip address 101
> set interface Loopback0 FastEthernet0/1
>!

попробовать заменить на:
>route-map l00p permit 10
> set interface Loopback0
>!

>Самое интересное, что статич.трансляции нормально экспортятся в нетфлоу, но 4 последних -
>заНАТченные сессии пользователей отображаются не верно... (
>
>Где грабли?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Не работает связка Netflow + NAT"  +/
Сообщение от tyomikh email(ok) on 02-Мрт-06, 10:31 
>"list 1"? надо бы его определить на всякий случай.
на самом деле он есть(иначе как бы работало?), я его просто забыл в приведенный конфиг вставить

>> set interface Loopback0 FastEthernet0/1
>попробовать заменить на:
>> set interface Loopback0
не помогает

эту же связку Netflow+NAT пробую на
#sh ver
IOS (tm) C2600 Software (C2600-IK9O3S3-M), Version 12.3(6), RELEASE SOFTWARE (fc3)

ROM: System Bootstrap, Version 12.2(7r) [cmong 7r], RELEASE SOFTWARE (fc1)

System image file is "flash:c2600-ik9o3s3-mz.123-6.bin"

cisco 2621XM (MPC860P) processor (revision 0x100) with 94208K/4096K bytes of memory.
Processor board ID JAD06310M5M (491493467)
M860 processor: part number 5, mask 2
Bridging software.
X.25 software, Version 3.0.0.
2 FastEthernet/IEEE 802.3 interface(s)
2 Serial(sync/async) network interface(s)
32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read/Write)

тоже не отображает нормальные внутренние ИП, только внешний адрес циски

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Не работает связка Netflow + NAT"  +/
Сообщение от nbv on 02-Мрт-06, 12:10 
>>"list 1"? надо бы его определить на всякий случай.
>на самом деле он есть(иначе как бы работало?), я его просто забыл
>в приведенный конфиг вставить
ИМХО пустой ACL == permit ip any any
если он есть то приведи его.

>
>>> set interface Loopback0 FastEthernet0/1
>>попробовать заменить на:
>>> set interface Loopback0
>не помогает
"match ip adress..." - тоже убирал?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Не работает связка Netflow + NAT"  +/
Сообщение от tyomikh email(ok) on 02-Мрт-06, 12:18 
>>>"list 1"? надо бы его определить на всякий случай.
>если он есть то приведи его.
access-list 1 permit 192.168.40.0 0.0.0.255

>"match ip adress..." - тоже убирал?
убирал, не помогает! %((


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Не работает связка Netflow + NAT"  +/
Сообщение от Sqquirel (ok) on 24-Ноя-09, 10:53 
>тоже не отображает нормальные внутренние ИП, только внешний адрес циски

Добрый день!
Удалось решить проблему? Столкнулся с подобной бедой...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру